RBAC vs ABAC: wanneer kies je wat?

Ruben van der Graaf·30 april 2026·4 min lezen·Bijgewerkt op 1 juni 2026

RBAC is simpel en werkt tot een bepaalde grootte. ABAC schaalt beter maar heeft meer setup nodig. Dit is het praktische beslispunt: wanneer ga je van RBAC naar ABAC?

Als je zoekt op access control, kom je twee termen telkens tegen: RBAC en ABAC. De meeste artikelen leggen uit wat ze zijn. Dit artikel gaat over de keuze: bij welke organisatie-grootte en welk volume aan wijzigingen stap je over.

TL;DR

RBAC wijst rollen toe. ABAC leidt rollen af uit attributen.
RBAC werkt tot ongeveer 50 medewerkers of als je verloop minimaal is.
ABAC wint zodra je 50+ medewerkers, meerdere locaties, of veel role changes hebt.
Ze sluiten elkaar niet uit, een hybride is normaal.
Ter illustratie: het rekenvoorbeeld hieronder laat zien hoe de handmatige uren oplopen bij 200 medewerkers.

Wat is RBAC

Role-Based Access Control. Je definieert rollen ("Sales rep", "Support engineer", "Manager"), en per rol wijs je rechten toe. Gebruikers krijgen een of meer rollen.

In Entra ID: je hebt handmatig gedefinieerde groepen en app-roles. Je zet iemand erin of er uit.

Voordelen:

Simpel concept
Iedereen snapt het
Snel op te zetten voor kleine organisaties

Nadelen:

Handmatig onderhoud
Schaalt slecht bij veel wijzigingen
"Role explosion" (je eindigt met 300 rollen)

Wat is ABAC

Attribute-Based Access Control. In plaats van rollen handmatig toewijzen, leid je rechten af uit attributen van de gebruiker: functie, afdeling, locatie, employment type.

In Entra ID: dynamic groups met membership rules. Voorbeeld: user.department -eq "Finance" and user.jobTitle -contains "Controller" zet die user automatisch in de Controllers-groep.

Voordelen:

Schaalt naadloos
Rechten volgen automatisch bij rolwisselingen en offboardings
Minder kans op menselijke fouten

Nadelen:

Vereist schone HR-data (attributen moeten kloppen)
Hogere leercurve
Troubleshooting is complexer

Wanneer is RBAC genoeg

Kies RBAC als:

Je organisatie minder dan 50 medewerkers heeft
Rollen stabiel zijn (weinig role changes)
Onboardings en offboardings zeldzaam zijn (< 2 per maand)
Je een klein IT-team hebt dat handmatige group-toewijzing makkelijk kan doen

Voor een consultancy van 20 man of een klein tech-bureau is RBAC prima. Extra complexiteit levert niets op.

Wanneer schakel je over naar ABAC

Signalen dat je uit RBAC groeit:

Meer dan 10 onboardings per maand
Meer dan 3 locaties of afdelingen met eigen rechten
Je IT-team zit meer dan 4 uur per week op handmatige group memberships
Je hebt een compliance-audit gehad en kon niet bewijzen wie wanneer welke toegang had
"Role explosion": meer dan 150 handmatige groepen in Entra ID

Vanaf 50 medewerkers wordt ABAC aantrekkelijk. Vanaf 200 medewerkers is RBAC gewoon niet meer houdbaar.

De rekensom voor 200 medewerkers

De tabel hieronder is een illustratief model, geen gemeten data. De minuten per taak en de volumes zijn redelijke aannames; vul je eigen getallen in om te zien waar je uitkomt.

Activiteit	RBAC tijd per jaar	ABAC tijd per jaar
Onboardings (120/jr × 15 min)	30 uur	0 uur
Offboardings (100/jr × 45 min)	75 uur	5 uur
Role changes (300/jr × 30 min)	150 uur	0 uur
Compliance-rapportage	80 uur	10 uur
License audit	60 uur	5 uur
Totaal	395 uur	20 uur

In dit voorbeeld is het verschil 375 uur, grofweg 47 werkdagen per jaar aan handmatig werk, waarvan het meeste wegvalt zodra de toegang regels volgt in plaats van tickets. Je werkelijke cijfer hangt af van je volumes en hoeveel al gescript is.

Hybride is normaal

Je hoeft niet te kiezen. In de praktijk houdt vrijwel elke organisatie die ABAC draait er ook handmatige groepen naast.

Typisch:

ABAC voor alles wat attribuut-driven is (standaard functies, locaties, afdelingen)
Handmatig voor uitzonderingen: directieleden, inhuur met bijzondere contracten, gevoelige admin-rechten

Dit noemen we hybrid IAM. Je hoeft niet in één pass alles over te zetten.

Pitfalls bij de overgang

Big bang. Niet alles in één keer migreren. Begin met 3-5 pilot groups.
Onbetrouwbare HR-data. ABAC werkt alleen zo goed als je attributen. Doe eerst een data-cleanup pass.
Geen buy-in van HR. Als HR niet committed is aan accurate attributen, werkt ABAC niet duurzaam.

FAQ

Kan ABAC veilig zijn voor privileged access? Ja, maar combineer met conditional access en privileged access reviews. Voor high-sensitivity rechten wil je altijd een extra laag.

Wat doe ik met mijn bestaande manual groups? Laat ze staan. Voeg ABAC ernaast toe. Na 3 tot 6 maanden kun je de manual groups opruimen die nu door ABAC gedekt worden.

Hoe meet ik of de migratie slaagt? Drie metrics: tijd besteed aan handmatige group management (moet dalen), aantal access-tickets op de servicedesk (moet dalen), compliance-audit-tijd (moet dalen).

Wil je dieper in de werking van het ABAC-model? Lees ABAC in Entra ID voor de membership rules en de grenzen in de praktijk. Een uitgebreide naast-elkaar-vergelijking van beide modellen staat op RBAC vs ABAC: modellen vergeleken.

Volgende stap

ServiceChanger bouwt het ABAC-model bovenop je huidige Entra ID, zonder dat je je bestaande groepen hoeft op te breken. Plan een demo of lees de ABAC-documentatie.

Ook interessant

Dynamic groups, een IGA-platform of ServiceChanger: wanneer kies je wat?

Toegang in Microsoft regelen kan met native Entra dynamic groups, een volwaardig IGA-platform of een regellaag als ServiceChanger. Dit zijn de drie aanpakken, hun grenzen, en wanneer welke past.

Entra ID groepen automatiseren met attributen

Hoe je Entra ID group membership automatisch laat volgen uit HR-attributen zoals functie, afdeling en locatie. Van concept naar werkende dynamic groups.

Wat is ABAC in Microsoft Entra ID?

ABAC (Attribute-Based Access Control) bepaalt toegang op basis van attributen zoals functie, afdeling of locatie. Zo werkt het in Entra ID, waar het verschilt van RBAC, en wanneer je het gebruikt.